画像はイメージ J5consulting
日本円換算で約660億円(約6億米ドル)にのぼる仮想通貨(暗号資産)が、ハッキングの被害にあった。
ハッキングを受けたのは、DeFi(分散型金融)プラットフォームを提供するPoly Networkだ。
2018年1月に日本の暗号資産交換業者コインチェックから約580億円相当の仮想通貨が盗み出されているが、この流出事件を上回る史上最大規模のハッキングとみられている。
ただ、この事案は極めて得意な展開をたどった。
8月11日になって、攻撃者側が、盗み出した仮想通貨の3分の1以上を返還し、13日には、Poly Network側が、ハッカー側に対して、ネットワークの脆弱性を指摘した報酬として50万ドルを支払うと提案したと報じられている。
「金に興味ない」
事件が起きたのは、日本時間の8月10日夜のことだ。Poly Networkの運営者がツイッターへの投稿で、「資産がハッカーのアドレスに送られた」と被害を明らかにした。
被害が公表された約20分後には、テザー社が、ハッキングと関連する仮想通貨テザー(USDT)約3300億ドル相当の資金移動を凍結したとツイートした。
一方で攻撃者側は、日本時間8月11日未明以降、ブロックチェーン上に繰り返しメッセージを残し、同午前0時48分には「資金を返還する準備ができた!」と書き込んだ。
ロイターによれば、攻撃社はこのメッセージどおり、11日に約2億6000万ドル相当の仮想通貨を返還している。
攻撃者は、ブロックチェーン上に「金には興味がない」とするメッセージも残している。
日本のブロックチェーン推進協会(BCCC)は11日夜、緊急解説会を開いた。
講師を務めたJPYC社の岡部典孝氏は、「いまのところ金銭目的というより、技術を誇示するような目的で、攻撃したという心象を持っています」との見方を示している。
管理者がいないのがDeFiだが
今回の事件が世界的に注目を集めているのは、被害額の大きさだけでなく、DeFi(Decentralized Finance)がハッキングの対象となった点だ。
分散型金融と訳されているDeFiには、特定の管理者がいないとされる。
DeFiの典型例としてよく説明されるのは、分散型取引所だ。たとえばビットフライヤーやコインチェックなどは、仮想通貨取引所(暗号資産交換所)で、日本の企業が運営している。
これに対して分散型取引所はユーザー間で仮想通貨を交換することができ、管理者がいないとされている。
ネットワーク上に仮想通貨を交換するソフトは存在するが、それを管理する会社などは存在しない。
Poly Networkは、中国など世界各国の暗号資産関連の企業やプロジェクトが資金や技術、プログラムを提供している。
複数のブロックチェーンをまたいで仮想通貨を交換できるネットワークだ。
厳密には「公式ツイッターアカウント」が存在する以上、運営者が存在し、Poly Networkが狭い意味でのDeFiに当たるかどうかは判断が難しいところがある。
11日夜の解説会で岡部氏は「Poly Networkの運営側のお金が盗まれた」との見方を示している。
おそらくPoly Networkの開発・運営に参画している企業や個人が出資し、仮想通貨の交換のためにプールしていた仮想通貨が、不正に引き出されたということになるのだろう。
いまのところ、Poly Network側が保有していた仮想通貨の移動に絡む脆弱性が攻撃者側に狙われたとみられている。
岡部氏は「権限の割り振りに脆弱性があったと考えられる。権限を持った4人が署名すれば、送金が行なわれるが、リストを書き換えて、自分1人の許可で送金が行なえるように細工することに成功した」と話している。
この連載の記事
- 第284回 NHKスマホで見たら受信料 世帯ごとの契約どう扱う?
- 第283回 LINEヤフーの情報漏えいで、日韓関係にヒビ?
- 第282回 AI規制、日本でも法制化の流れ リスク対策は企業の義務に?
- 第281回 SNS「なりすまし広告」詐欺被害拡大。実効性ある法整備はできるか
- 第280回 データセンター建設ラッシュ 日本への投資が熱を帯びる3つの要因
- 第279回 ラピダスがシリコンバレー拠点を作ったワケ
- 第278回 日本円のデジタル化が近づいてきた
- 第277回 仮想通貨取引所の破たんで起きたこと。「史上最大」の詐欺、FTX創業者に禁錮25年
- 第276回 時価1.5兆円の掲示板サイト「Reddit」のビジネスモデル
- 第275回 仮想通貨が通貨危機の引き金に!?
- この連載の一覧へ
